Šifrovanie & TLS

Prečo je šifrovaná komunikácia základom digitálnej bezpečnosti a čo sa stane, keď ju nemáte.

Čo je TLS a prečo na ňom záleží

TLS (Transport Layer Security) je protokol, ktorý šifruje komunikáciu medzi prehliadačom vášho zákazníka a vaším serverom. Bez neho sú všetky dáta — heslá, čísla kreditných kariet, osobné údaje — posielané ako čistý text, ktorý môže ktokoľvek na sieti prečítať.

Aktuálna verzia TLS 1.3 (RFC 8446, 2018) odstránila zastarané šifrovacie algoritmy, znížila počet krokov na nadviazanie spojenia z dvoch na jeden (1-RTT handshake) a eliminovala známu triedu útokov ako BEAST, POODLE a DROWN, ktoré postihovali staršie verzie.

TLS 1.2 vs TLS 1.3 — prečo na tom záleží

TLS 1.2 stále funguje, ale podporuje nebezpečné šifrovacie sady (cipher suites) ako CBC-mode a RSA key exchange. Útočník s pristupom k sieti môže zneužiť tieto slabiny. Veľké organizácie — PCI DSS, NIST, BSI — už vyžadujú TLS 1.3 alebo minimálne TLS 1.2 s obmedzeným zoznamom cipher suites.

95.6%
webov už podporuje TLS 1.3 (W3Techs, 2025)
0-RTT
opakované spojenie bez čakania
100 ms
úspora na každom handshake oproti TLS 1.2

HSTS — ochrana pred downgrade útokom

HSTS (HTTP Strict Transport Security) je HTTP hlavička, ktorá prikáže prehliadaču: „S touto domenou komunikuj vždy cez HTTPS. Nikdy nie cez HTTP.“ Toto je kritické, pretože samotný HTTPS redirect nestačí.

Reálny scenár útoku — kaviarenská sieť

1 Zakaznik sa pripoji na verejnu WiFi v kaviarni a otvorí vašu stránku — napíše vasadomena.sk (bez https://).
2 Prehliadač pošle prvý požiadavok cez HTTP (nešifrovaný). Server odpovie „presmeruj na HTTPS“ (301 redirect).
3 Útočník na tej istej WiFi zachytí tento prvý HTTP požiadavok (SSL stripping, nastroj: sslstrip).
4 Útočník sa postaví medzi zákazníka a server. Zákazník si myslí, že komunikuje s vami, ale všetky dáta prechádzajú cez útočníka.
5 Výsledok: Heslá, cookies, osobné údaje sú kompromitované. Zákazník nič netuší.
Riešenie: HSTS + Preload

S aktívnym HSTS prehliadač nikdy nepošle prvý požiadavok cez HTTP — automaticky prepíše na HTTPS ešte pred odoslaním. HSTS preload znamena, ze vaša doména je zapísaná priamo v zdrojovom kode prehliadača (Chrome, Firefox, Safari, Edge). Aj úplne prvý návštevník je chránený.

Správna hlavička:
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload

Čo znamená max-age

Hodnota max-age=63072000 hovorí: „Nasledujúce 2 roky komunikuj s touto domenou len cez HTTPS.“ Ak nastavíte krátku hodnotu (napr.... 300 sekund), útočník stačí počkať 5 minut a útok zopakovať. Minimum pre HSTS preload je 1 rok (31536000).

HTTPS Redirect

Ak niekto pristupuje na vašu stránku cez http://, server musí okamžite presmerovat na https://. Toto je základná hygiena — ale nie je to dostatočná ochrana sama o sebe (preto potrebujete aj HSTS).

Častá chýba

Mnoho webov presmerováva cez 302 (dočasne) namiesto 301 (trvale). Prehliadače 302 redirect necachuju, takže každý návštevník opakovane pošle prvý požiadavok cez nešifrované HTTP. Používajte vždy 301.

SSL/TLS certifikát

Certifikat je digitálny doklad, ktorý potvrdzuje identitu vášho servera. Keď prehliadač otvorí HTTPS spojenie, server predloží certifikát a prehliadač overí:

Let's Encrypt vydáva certifikáty zadarmo, automaticky, s platnosťou 90 dní. Neexistuje žiadny dôvod mať expirovaný certifikát. Napriek tomu denne expirujú certifikáty na tisíckach webov — väčšinou kvôli chýbajúcej automatizácii obnovenia.

Expirovaný certifikát = stratený biznis

Ked certifikát expiruje, prehliadač zobrazí celostrankové varovanie: „Táto stránka nie je bezpečná.“ Podľa štúdií Google az 53 % návštevníkov okamžite odíde a už sa nevráti. Pre e-shopy to znamena priamy výpadok tržby. V roku 2020 expiroval certifikát Spotify a 30 minut nedostupnosti stála odhadom $1.7M.

Prečo je to dôležité — finančný dopad

€4.88M
priemerná cena dátového úniku v roku 2024 (IBM)
277 dni
priemerné trvanie do odhalenia úniku
60 %
malých firiem zanikne do 6 mesiacov po uniku

Chýbajúce šifrovanie nie je len technické pochybenie — je to podnikateľské riziko. Zákazníci, partneri a regulátori očakávajú, ze ich dáta sú chránené. Strata dôvery je nezvratná: podľa Ponemon Institute 65 % zákazníkov stratí dôveru vo firmu po dátovom úniku a 31 % ukončí obchodný vzťah.

Pre e-shopy a SaaS firmy je HTTPS priamo naviazaný na tržby: Google zvýhodňuje HTTPS stránky v organickom vyhľadávaní od roku 2014. Stránky bez HTTPS prichádzajú o 10-20 % organického trafficu.

Čo sa stane ak to nemáte

Bez TLS 1.3

Používate zastarané šifrovacie algoritmy, ktoré sú zraniteľné voči známym útokom. Regulátori (NIS2, PCI DSS) to považujú za nedostatočnú ochranu. Penetračný test toto označí ako vysokú zraniteľnosť.

Bez HSTS

Každý zákazník na verejnej WiFi je zraniteľný voči SSL stripping útoku. Prvý požiadavok je vždy nešifrovaný. Ak ste e-shop alebo spracúvate osobné údaje, porušujete princíp integrity komunikácie podľa GDPR čl. 32.

Bez HTTPS redirect

Časť vašich návštevníkov pristupuje na nešifrovanú verziu vašej stránky. Ich dáta sú viditeľné pre každého na sieti. Google Chrome zobrazuje „Not Secure“ v adresnom riadku — to je aktívne varovanie pred vašou firmou.

Regulatórne požiadavky

Framework Článok / Kontrola Poziadavok
NIS2 Článok 21 ods. 2 písm. e) Šifrovanie komunikačných kanálov, kryptografické opatrenia
GDPR Článok 32 ods. 1 písm. a) Pseudonymizácia a šifrovanie osobných údajov
SOC 2 CC6.1 Logický prístup — šifrovanie dát v transporte
PCI DSS 4.0 Poziadavok 4.2.1 Silná kryptografia na ochranu dát pri prenose
ISO 27001 A.10.1.1 Politika použitia kryptografických kontrol

Od 17. októbra 2024 je smernica NIS2 transponovaná do národných zákonov členských štátov EU. Na Slovensku sa týka všetkých stredných a veľkých podnikov v kľúčových sektoroch. Pokuty môžu dosiahnuť až 10 miliónov EUR alebo 2 % celosvetového obratu.

Overte si šifrovanie vašej domény

Náš audit skontroluje TLS verziu, certifikát, HSTS hlavičku aj HTTPS redirect za 30 sekúnd. Bezplatne.

Spustiť audit